Politikalarımız

KİŞİSEL VERİLERİN AKTARILMASI
Feyza Yılmaz Akademi, Kanun’un 8. ve 9. maddelerinde sıralanan ve Kişisel Verileri Koruma Kurulu tarafından belirlenmiş olan ilave düzenlemelere uygun olarak; kişisel verilerin aktarılması şartlarının bulunması durumunda kişisel verileri yurtiçinde veya yurtdışına aktarabilmektedir.
Kişisel verilerin yurtiçinde üçüncü kişilere aktarımı, Kanun’un 5. ve 6. maddesinde yer alan ve veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartıyla kişisel verileriniz Akademi tarafından aktarılabilmektedir.
Kişisel verilerin yurtdışında üçüncü kişilere aktarımı, kişinin açık rızası olmadığı hallerde, Kanun’un 5. ve 6. maddesinde yer alan veri işleme şartlarından en az birinin varlığı halinde ve veri işleme şartlarına ilişkin temel ilkelere uymak şartıyla Akademi tarafından kişisel verileriniz yurtdışına aktarılabilmektedir.
Aktarımın yapılacağı ülkenin Kişisel Verileri Koruma Kurulu tarafından ilan edilecek güvenli ülkelerden olmaması halinde, Akademi ve ilgili ülkedeki veri sorumlusunun yeterli korumayı yazılı olarak taahhüt etmesi üzerine, Kişisel Verileri Kurulu’nun bu işleme izin vermesi ile Kanun’un 5. ve 6. maddesinde yer alan veri işleme şartlarından en az birinin varlığı halinde kişisel veriler yurtdışındaki üçüncü taraflara aktarılabilmektedir.
Kanunun genel ilkeleri ile 8. ve 9. maddelerinde yer alan veri işleme şartları dahilinde Akademi, aşağıdaki tabloda kategorizasyonu yapılmış taraflara veri aktarımı gerçekleştirebilmektedir:
PAYLAŞILAN TARAF KATEGORİZASYONU KAPSAM Yetkili Kamu Kurumu ve Kuruluşları Hukuken Akademi’den bilgi ve belge almaya yetkili kamu kurum ve kuruluşlar Gerçek Kişiler veya Özel Hukuk Tüzel Kişileri Gerçek kişiler veya özel hukuk tüzel kişileri Tedarikçiler İş Ortakları Banka Hizmet alınan kişi ve tüzel kişiler Yurt dışında bulunan hizmet sağlayıcılar
Herkese Açık Kamuya açık bilgiler Sosyal medya mecralarında paylaşılan içerikler
VERİ SAHİPLERİNİN AYDINLATILMASI VE VERİ SAHİPLERİNİN HAKLARI
Kanunun 10. maddesine göre kişisel verilerin işlenmesinden önce veya en geç kişisel verilerin işlenmesi anında, veri sahiplerinin kişisel veri işlenmesine ilişkin aydınlatılmaları gerekmektedir. İlgili madde gereğince veri sorumlusu sıfatıyla Feyza Yılmaz Akademi tarafından kişisel veri işleme faaliyetinin yürütüldüğü her durumda veri sahiplerinin aydınlatılmasını sağlamak üzere kurum içi gerekli yapı oluşturulmuştur. Bu kapsamda;
Veri sahibi olarak Kanun’un 11. maddesi uyarınca aşağıdaki haklara sahip olduğunuzu belirtmek isteriz:

• Kişisel verilerinizin işlenip işlenmediğini öğrenme

• Kişisel verileriniz işlenmişse buna ilişkin bilgi talep etme

• Kişisel verilerinizin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme

• Yurt içinde veya yurt dışında kişisel verilerinizin aktarıldığı üçüncü kişileri bilme

• Kişisel verilerinizin eksik veya yanlış işlenmiş olması hâlinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme

• Kanun’a ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesini veya yok edilmesini isteme ve bu kapsamda yapılan işlemin kişisel verilerinizin aktarıldığı üçüncü kişilere bildirilmesini isteme

• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle aleyhinize bir sonucun ortaya çıkması durumunda buna itiraz etme

• Kişisel verilerinizin kanuna aykırı olarak işlenmesi sebebiyle zarara uğramanız hâlinde zararın giderilmesini talep etme

Sayılan haklarınıza yönelik başvurularınızı info@feyzayilmazakademi.com adresine iletebilirsiniz. Talebinizin niteliğine göre en kısa sürede ve en geç otuz gün içinde başvurularınız ücretsiz olarak sonuçlandırılacaktır; ancak işlemin ayrıca bir maliyet gerektirmesi halinde Kişisel Verileri Koruma Kurulu tarafından belirlenecek tarifeye göre tarafınızdan ücret talep edilebilecektir.
FEYZA YILMAZ AKADEMİ KİŞİSEL VERİ SAKLAMA VE İMHA POLİTİKASI
İçindekiler

1. GİRİŞ 1.1. Amaç 1.2. Kapsam

2. TANIMLAR VE KISALTMALAR

3. SORUMLULUK VE GÖREV DAĞILIMLARI

4. KAYIT ORTAMLARI

5. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR 5.1. Saklamaya İlişkin Açıklamalar 5.2. Saklamayı Gerektiren Hukuki Sebepler 5.3. Saklamayı Gerektiren İşleme Amaçları 5.4. İmhayı Gerektiren Sebepler

6. TEKNİK VE İDARİ TEDBİRLER 6.1. Teknik Tedbirler 6.2. İdari Tedbirler

7. KİŞİSEL VERİLERİ İMHA TEKNİKLERİ 7.1. Kişisel Verilerin Silinme Yöntemleri 7.2. Kişisel Verilerin Yok Edilme Yöntemleri 7.3. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri

8. SAKLAMA VE İMHA SÜRELERİ

9. PERİYODİK İMHA SÜRELERİ

10. POLİTİKANIN YAYIMLANMASI

11. SAKLAMA ve İMHA SÜRELERİ

12. GİRİŞ

1.1. Amaç 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) uyarınca oluşturulan işbu Feyza Yılmaz Akademi Kişisel Veri Saklama ve İmha Politikası (“Politika”), Akademimiz tarafından Kanun’a uyumluluğun sağlanması kapsamında belirlenen usul ve esasları kapsamaktadır.
Kişisel verilerin saklanması ve imhasına ilişkin iş ve işlemler, Akademi tarafından bu doğrultuda hazırlanmış olan Politikaya uygun olarak gerçekleştirilir.
1.2. Kapsam Akademi çalışanları, çalışan adayları, danışanlar ve diğer üçüncü kişilere ait kişisel veriler bu Politika kapsamında olup Akademinin sahip olduğu ya da Akademi tarafından yönetilen kişisel verilerin işlendiği tüm kayıt ortamları ve kişisel veri işlenmesine yönelik faaliyetlerde bu Politika uygulanır.
Ayrıca, işbu Politika’da aksi belirtilmedikçe, Politika ile atıf yapılan dokümanlar hem basılı hem de elektronik kopyaları kapsamaktadır.

1. TANIMLAR VE KISALTMALAR

Açık Rıza: Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza Alıcı Grubu: Veri sorumlusu tarafından kişisel verilerin aktarıldığı gerçek veya tüzel kişi kategorisi Anayasa: Türkiye Cumhuriyeti Anayasası Anonim Hale Getirme: Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi Elektronik Ortam: Kişisel verilerin elektronik aygıtlar ile oluşturulabildiği, okunabildiği, değiştirilebildiği ve yazılabildiği ortamlar Elektronik Olmayan Ortam: Elektronik ortamların dışında kalan tüm yazılı, basılı, görsel vb. diğer ortamlar Hizmet Sağlayıcı: Akademi ile belirli bir sözleşme çerçevesinde hizmet sağlayan gerçek veya tüzel kişi İlgili Kişi / Kişisel Veri Sahibi: Kişisel verisi işlenen gerçek kişi İlgili Kullanıcı: Verilerin teknik olarak depolanması, korunması ve yedeklenmesinden sorumlu olan kişi ya da birim hariç olmak üzere veri sorumlusu organizasyonu içerisinde veya veri sorumlusundan aldığı yetki ve talimat doğrultusunda kişisel verileri işleyen kişiler İmha: Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi Kanun: 6698 Sayılı Kişisel Verilerin Korunması Kanunu Kayıt Ortamı: Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam Kişisel Veri: Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi (örn. ad-soyad, TCKN, e-posta, adresi, doğum tarihi, kredi kartı numarası, banka hesap numarası -Dolayısıyla tüzel kişilere ilişkin bilgilerin işlenmesi Kanun kapsamında değildir) Kişisel Veri İşleme Envanteri: Veri sorumlularının iş süreçlerine bağlı olarak gerçekleştirmekte oldukları kişisel verileri işleme faaliyetlerini; kişisel verileri işleme amaçları ve hukuki sebebi, veri kategorisi, aktarılan alıcı grubu ve veri konusu kişi grubuyla ilişkilendirerek oluşturdukları ve kişisel verilerin işlendikleri amaçlar için gerekli olan azami muhafaza edilme süresini, yabancı ülkelere aktarımı öngörülen kişisel verileri ve veri güvenliğine ilişkin alınan tedbirleri açıklayarak detaylandırdıkları envanter Kişisel Verilerin İşlenmesi: Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem Kurul: Kişisel Verileri Koruma Kurulu Özel Nitelikli Kişisel Veri: Irk, etnik köken, siyasi düşünce, felsefi inanç, din, mezhep veya diğer inançlar, kılık kıyafet, dernek vakıf ya da sendika üyeliği, sağlık, cinsel hayat, ceza mahkumiyeti ve güvenlik tedbirleriyle ilgili veriler ile biyometrik ve genetik veriler Periyodik İmha: Kanun’da yer alan kişisel verilerin işlenme şartlarının tamamının ortadan kalkması durumunda işbu Politika’da belirtilen ve tekrar eden aralıklarla re’sen gerçekleştirilecek silme, yok etme veya anonim hale getirme işlemi Politika: Kişisel Verileri Saklama ve İmha Politikası Veri İşleyen: Veri sorumlusunun verdiği yetkiye dayanarak veri sorumlusu adına kişisel verileri işleyen gerçek veya tüzel kişi Veri Kayıt Sistemi: Kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi Veri Sorumlusu: Kişisel verilerin işlenme amaçlarını ve vasıtalarını belirleyen, verilerin sistematik bir şekilde tutulduğu yeri (veri kayıt sistemi) yöneten kişi VERBİS: Veri Sorumluları Sicili Yönetmelik: 28 Ekim 2017 tarihli Resmi Gazetede yayımlanan Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik
​
3. SORUMLULUK VE GÖREV DAĞILIMLARI
Şirketin tüm birimleri ve çalışanları, sorumlu birimlerce Politika kapsamında alınmakta olan teknik ve idari tedbirlerin gereği gibi uygulanması, birim çalışanlarının eğitimi ve farkındalığının arttırılması, izlenmesi ve sürekli denetimi ile kişisel verilerin hukuka aykırı olarak işlenmesinin önlenmesi, kişisel verilere hukuka aykırı olarak erişilmesinin önlenmesi ve kişisel verilerin hukuka uygun saklanmasının sağlanması amacıyla kişisel veri işlenen tüm ortamlarda veri güvenliğini sağlamaya yönelik teknik ve idari tedbirlerin alınması konularında sorumlu birimlere aktif olarak destek verir. Kişisel verilerin saklama ve imha süreçlerinde görev alanların unvanları, birimleri ve görev tanımlarına ait dağılımı ve imha süreçleri aşağıdaki gibidir:
UNVAN
GÖREV
IT
Politika’nın uygulanmasında İhtiyaç duyulan teknik çözümlerin sunulmasından sorumludur.
Diğer Komite Üyeleri
Politika’nın hazırlanması, geliştirilmesi, yürütülmesi, ilgili ortamlarda yayınlanması ve güncellenmesi ile Çalışanların Politika’ya uygun hareket etmesinden sorumludur.
4. KAYIT ORTAMLARI

• Elektronik Ortamlar:

• Yazılımlar (ofis yazılımları, portal)

• Bulut sistemler

• E-postalar

• Güvenlik duvarı, saldırı tespit ve engelleme, antivirüs vb.

• Kişisel bilgisayarlar (Masaüstü, dizüstü)

• Mobil cihazlar (telefon, tablet vb.)

• Optik diskler (CD, DVD vb.)

• Çıkartılabilir bellekler (USB, Hafıza Kart vb.)

• Yazıcı, tarayıcı, fotokopi makinesi

• Fiziksel Ortamlar:

• Kağıt

• Manuel veri kayıt sistemleri

• Yazılı, basılı, görsel ortamlar

5. SAKLAMA VE İMHAYA İLİŞKİN AÇIKLAMALAR
5.1. Saklamaya İlişkin Açıklamalar
Kanunun 3’üncü maddesinde kişisel verilerin işlenmesi kavramı tanımlanmış, 4’üncü maddesinde işlenen kişisel verinin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli süre kadar muhafaza edilmesi gerektiği belirtilmiş, 5 ve 6’ncı maddelerde ise kişisel verilerin işleme şartları sayılmıştır. Buna göre, Şirketimiz faaliyetleri çerçevesinde kişisel veriler, ilgili mevzuatta öngörülen veya işleme amaçlarımıza uygun süre kadar saklanır.
5.2. Saklamayı Gerektiren Hukuki Sebepler
Şirketimizde, faaliyetleri çerçevesinde işlenen kişisel veriler, ilgili mevzuatta öngörülen süre kadar muhafaza edilir. Bu kapsamda aşağıda sayılanlarla sınırlı olmamak üzere ilgili mevzuat kapsamında kişiler veriler işlenir:
- 6698 sayılı Kişisel Verilerin Korunması Kanunu
- 6098 sayılı Türk Borçlar Kanunu
- 5510 sayılı Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu
- 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun
- 6331 sayılı İş Sağlığı ve Güvenliği Kanunu
- 4982 sayılı Bilgi Edinme Kanunu
- 4857 sayılı İş Kanunu
- 213 sayılı Vergi Usul Kanunu
- 6102 sayılı Türk Ticaret Kanunu
5.3. Saklamayı Gerektiren İşleme Amaçları
Kişisel veriler, Kişisel Verilerin Korunması ve İşlenmesi Politikası’nda belirtilen işleme amaçlarına ve KVKK’nın 5. ve 6. maddelerinde yer alan işleme şartlarına uygun şekilde saklanır ve kullanılır. Bu şartların tamamının ortadan kalkması halinde, kişisel veriler re’sen ya da ilgili kişinin talebi doğrultusunda imha edilir.
5.4. İmhayı Gerektiren Sebepler
Aşağıdaki durumların gerçekleşmesi halinde, kişisel veriler silinir, yok edilir veya anonim hale getirilir:

• İlgili mevzuat hükümlerinin değişmesi ya da yürürlükten kalkması

• İşlenmesini veya saklanmasını gerektiren amacın ortadan kalkması

• Açık rızaya dayalı işlenen verilerde, rızanın geri alınması

• Veri sahibinin başvurusu üzerine KVKK Kurumu’nun silme/yok etme kararının verilmesi

• Şirketin başvuruyu reddetmesi, geç cevap vermesi veya yetersiz yanıt vermesi sonucunda Kurul kararı

• Azami saklama süresinin dolması ve daha uzun süre saklamayı gerektirecek bir sebebin kalmaması

6. TEKNİK VE İDARİ TEDBİRLER
6.1. Teknik Tedbirler

• Ağ ve uygulama güvenliği sağlanır

• Kişisel veri aktarımları kapalı sistem ağ üzerinden gerçekleştirilir

• Anahtar ve erişim yönetimi uygulanır

• Antivirüs, güvenlik duvarı ve saldırı önleme sistemleri kullanılır

• Loglar kullanıcı müdahalesi olmaksızın tutulur

• Şirket içi sızma testleri ve denetimler yapılır

• Veri yedekleme ve veri kaybı önleme sistemleri aktiftir

• Kişisel veriler şifrelenir; özel nitelikli veriler KEP veya kurumsal e-posta üzerinden iletilir

• Görev değişikliklerinde yetkiler kaldırılır

• Bulut ortamı ve taşınabilir cihazlarda veri güvenliği sağlanır

6.2. İdari Tedbirler

• Çalışanlara düzenli KVKK eğitimi ve farkındalık çalışmaları yapılır

• Disiplin prosedürlerine veri güvenliği maddeleri eklenmiştir

• Gizlilik taahhütnameleri imzalanır

• Kağıt ortamındaki veriler için fiziksel güvenlik önlemleri uygulanır

• Hizmet sağlayıcılar düzenli olarak denetlenir ve veri güvenliği protokollerine dahil edilir

• Kişisel verilerin mümkün olduğunca az veriyle işlenmesi sağlanır

• Fiziksel veri ortamlarına giriş-çıkış kontrolleri uygulanır

• Veri güvenliği politika ve prosedürleri şirket içinde tanımlanmıştır

• 7.1. Kişisel Verilerin Silinme Yöntemleri

• Kişisel verilerin silinmesi, kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Feyza Yılmaz Akademi, silinen kişisel verilerin ilgili kullanıcılar için erişilemez ve tekrar kullanılamaz olması için teknolojik imkânlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

• Bu kapsamda Feyza Yılmaz Akademi, kişisel verileri silme işlemi için aşağıdaki yöntemleri uygulamaktadır:

• Veri Kayıt OrtamıAçıklama

• Sunucularda Yer Alan Kişisel VerilerSunucularda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler için sistem yöneticisi tarafından ilgili kullanıcıların erişim yetkisi kaldırılarak silme işlemi yapılır.

• Elektronik Ortamda Yer Alan Kişisel VerilerElektronik ortamda yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, veri tabanı yöneticisi hariç diğer çalışanlar (ilgili kullanıcılar) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir.

• Fiziksel Ortamda Yer Alan Kişisel VerilerFiziksel ortamda tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler için evrak arşivinden sorumlu birim yöneticisi hariç diğer çalışanlar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilir. Ayrıca, üzeri okunamayacak şekilde çizilerek/ boyanarak/ silinerek karartma işlemi de uygulanır.

• Taşınabilir Medyada Bulunan Kişisel VerilerFlash tabanlı saklama ortamlarında tutulan kişisel verilerden saklanmasını gerektiren süre sona erenler, sistem yöneticisi tarafından şifrelenerek ve erişim yetkisi sadece sistem yöneticisine verilerek şifreleme anahtarlarıyla güvenli ortamlarda saklanır.

• 7.2. Kişisel Verilerin Yok Edilme Yöntemleri

• Kişisel verilerin yok edilmesi, kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemidir. Feyza Yılmaz Akademi, kişisel verilerin yok edilmesiyle ilgili teknolojik imkânlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.

• Bu kapsamda Feyza Yılmaz Akademi, kişisel verileri yok etme işlemi için aşağıdaki yöntemleri uygulamaktadır:

• Veri Kayıt OrtamıAçıklama

• Fiziksel Ortamda Yer Alan Kişisel VerilerKâğıt ortamında yer alan kişisel verilerden saklanmasını gerektiren süre sona erenler, kâğıt kırpma makinelerinde geri döndürülemeyecek şekilde yok edilir.

• Optik / Manyetik Medyada Yer Alan Kişisel VerilerOptik medya ve manyetik medyada yer alan kişisel verilerden saklanmasını gerektiren süre sona erenlerin eritilmesi, yakılması veya toz haline getirilmesi gibi fiziksel olarak yok edilmesi işlemi uygulanır. Ayrıca, manyetik medya özel bir cihazdan geçirilerek yüksek değerde manyetik alana maruz bırakılması suretiyle üzerindeki veriler okunamaz hale getirilir.

7.3. Kişisel Verilerin Anonim Hale Getirilme Yöntemleri
Kişisel verilerin anonim hale getirilmesi, kişisel verilerin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir. Kişisel verilerin anonim hale getirilmiş olması için; kişisel verilerin, Feyza Yılmaz Akademi, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekmektedir. Feyza Yılmaz Akademi, kişisel verilerin anonim hale getirilmesiyle ilgili teknolojik imkânlar ve uygulama maliyetine göre gerekli her türlü teknik ve idari tedbirleri almaktadır.
Bu kapsamda Feyza Yılmaz Akademi, kişisel verileri anonim hale getirme işlemi için aşağıdaki yöntemleri uygulamaktadır:
Anonim Hale Getirme Yöntemleri    Açıklama
Fiziksel Ortamda Yer Alan Kişisel Veriler    Kâğıt ortamında yer alan kişisel verilerden kimliğini ortaya çıkaracak veriler silme ve karartma yöntemi ile anonimleştirilir.
Eğitimlerde Kullanılan Ses ve Görüntü Kayıtları / Videolar    Ses ve görüntü kayıtları/videolarında yer alan kişilerin kimliklerinin tanınmaz hale gelecek biçimde teknoloji kullanılarak anonimleştirilmesi.
8. SAKLAMA VE İMHA SÜRELERİ
Feyza Yılmaz Akademi, kişisel verileri ancak uymakla yükümlü olduğu mevzuatta belirtildiği veya işlendikleri amaç için gerekli olan süre kadar muhafaza ve imha etmektedir. Bu kapsamda Feyza Yılmaz Akademi, kişisel verileri aşağıdaki 11. Saklama ve İmha Süreleri Tablosu’nda belirtilen azami süreler boyunca saklamakta ve imha etmektedir:
Kişisel veri sahibinin Feyza Yılmaz Akademi’ye başvurarak kendisine ait kişisel verilerin imha edilmesini talep etmesi halinde:
Kişisel verileri işleme şartlarının tamamı ortadan kalkmışsa:
Kişisel veri sahibinin talebi en geç otuz gün içinde sonuçlandırılır ve kişisel veri sahibine bilgi verilir.
Talebe konu olan kişisel veriler üçüncü kişilere aktarılmışsa, bu durum üçüncü kişiye bildirilir ve nezdinde gerekli işlemlerin yapılması sağlanır.
Kişisel verileri işleme şartlarının tamamı ortadan kalkmamışsa:
Kişisel veri sahibinin talebi, Kanun’un 13. maddesinin üçüncü fıkrası uyarınca gerekçesi açıklanarak reddedilir ve ret cevabı en geç otuz gün içinde yazılı olarak ya da elektronik ortamda bildirilir.
9. PERİYODİK İMHA SÜRELERİ
Yönetmeliğin 11’inci maddesi gereğince, Feyza Yılmaz Akademi periyodik imha süresini 6 ay olarak belirlemiştir. Bu doğrultuda, her yıl Mayıs ve Kasım aylarında periyodik imha işlemi gerçekleştirilir.
10. POLİTİKANIN YAYIMLANMASI
İşbu Politika, yayımlandığı tarihte yürürlüğe girmiştir.
11. SAKLAMA VE İMHA SÜRELERİ TABLOSU
Süreç Bazlı Veri Grubu    Saklama Süresi    İmha Süresi
Danışan Dosyaları ve Kişisel Verileri (Fiziki ortam)    Terapi Süreci Bittikten Sonra 5 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Danışan Dosyası ve Kişisel Verileri (Elektronik Ortam)    Terapi Süreci Bittikten Sonra 10 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Araştırma Girdi Dataları    10 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Danışan İzni ile Alınmış Video Kayıtları    Rızası süresince    Saklama süresinin bitimini takip eden ilk periyodik imha
Firmalara Verilen Teklifler (Fiziki Ortam)    2 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Firmalara Verilen Teklifler (Elektronik Ortam)    10 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Eğitim Ses Kayıtları ve Videoları    Rızası süresince    Saklama süresinin bitimini takip eden ilk periyodik imha
Eğitimde Kullanılan Dokümanlar    1 hafta    Süre bitiminde hemen
Eğitim Değerlendirme Formları    1 yıl (fiziksel) – 10 yıl (elektronik)    Saklama süresinin bitimini takip eden ilk periyodik imha
Firmalar ile Yapılan Sözleşmeler    Hukuki İlişki + 10 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Özlük Dosyaları    Hukuki İlişki + 10 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
İş Sağlığı ve Güvenliğine İlişkin Kayıtlar    Hukuki İlişki + 15 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Muhasebe ve Finans Süreçleri    Hukuki İlişki + 10 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Bilgi işlem faaliyetleri (e-mail içerikleri)    5 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Bilgi işlem faaliyetleri (e-posta adresleri)    Hukuki İlişki + 1 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Kamera Kayıtları    3 Ay    Saklama süresinin bitimini takip eden ilk periyodik imha
Hukuk İşleri    Hukuki İlişki + 10 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
Tanıtım Birimi Faaliyetleri    Hukuki İlişki + 10 Yıl    Saklama süresinin bitimini takip eden ilk periyodik imha
ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI VE İŞLENMESİ POLİTİKASI
İÇİNDEKİLER

1. GİRİŞ
    1.1. Politikanın Amacı ve Kapsam
    1.2. Yürürlük ve Değişiklik

2. ÖZEL NİTELİKLİ KİŞİSEL VERİLER
    2.1. Özel Nitelikli Kişisel Verilerin İşlenmesi ve Aktarılması
    2.2. Özel Nitelikli Kişisel Verilerin Yurtdışına Aktarılması
    2.3. Özel Nitelikli Kişisel Verilerin Korunması
     2.3.1. Çalışanlara Yönelik Tedbirler
     2.3.2. Elektronik Ortam Tedbirleri
     2.3.3. Fiziksel Ortam Tedbirleri
     2.3.4. Aktarıma İlişkin Önlemler

1. GİRİŞ
1.1. Politikanın Amacı ve Kapsam
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında hazırlanan bu Özel Nitelikli Kişisel Verilerin Korunması ve İşlenmesi Politikası (“Politika”), Kanun’a uyumun sağlanması ve Feyza Yılmaz Akademi tarafından özel nitelikli kişisel verilerin güvenli şekilde işlenmesine yönelik usul ve esasların belirlenmesini amaçlamaktadır.
1.2. Yürürlük ve Değişiklik
Bu Politika, Feyza Yılmaz Akademi tarafından yürütülen KVKK Uyum Süreci kapsamında hazırlanmış ve yürürlüğe alınmıştır. Akademi, yasal düzenlemelere ve ihtiyaçlara paralel olarak bu Politikada değişiklik yapma hakkını saklı tutar.
2. ÖZEL NİTELİKLİ KİŞİSEL VERİLER
Özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek/vakıf/sendika üyelikleri, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleri ile biyometrik/genetik verilerini ifade eder.
2.1. Özel Nitelikli Kişisel Verilerin İşlenmesi ve Aktarılması
Feyza Yılmaz Akademi, Kanun’un 6. maddesinde belirtilen ve hukuka aykırı işlendiğinde mağduriyete ya da ayrımcılığa yol açabilecek nitelikte olan özel nitelikli verileri işlerken azami hassasiyet göstermektedir.
Bu veriler yalnızca:

• Veri sahibinin açık rızası ile,

• KVKK Kurulu tarafından belirlenen ek önlemler alınarak,

• Veya Kanun’un 6/3. maddesi çerçevesinde açık rıza aranmaksızın,
  işlenebilir ve aktarılabilir.

Özellikle sağlık ve cinsel hayata ilişkin özel nitelikli kişisel veriler yalnızca:

• Kamu sağlığının korunması,

• Koruyucu hekimlik,

• Tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi,

• Sağlık hizmetleri ile finansmanının planlanması ve yönetimi amaçlarıyla,

• Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından,

açık rıza olmaksızın işlenebilmektedir.
2.2. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN YURTDIŞINA AKTARILMASI
Feyza Yılmaz Akademi, gerekli özeni göstererek ve Kişisel Verileri Koruma Kurulu tarafından öngörülen yeterli güvenlik tedbirlerini alarak; meşru ve hukuka uygun veri işleme amaçları doğrultusunda, özel nitelikli kişisel verileri veri sahibinin açık rızasına dayalı olarak Yeterli Korumaya Sahip veya Korumayı Taahhüt Eden Veri Sorumlularının Bulunduğu Yabancı Ülkelere aktarabilmektedir.
Yeterli korumanın bulunmadığı durumlarda ise, KVK Kurumu tarafından yayınlanan yurt dışına veri aktarımına ilişkin taahhütname ilgili taraflarla imzalanarak Kurul onayına sunulmaktadır.
2.3. ÖZEL NİTELİKLİ KİŞİSEL VERİLERİN KORUNMASI
Feyza Yılmaz Akademi, hukuka uygun olarak işlenen özel nitelikli kişisel verilerin gizliliğine ve bütünlüğüne azami önem göstermektedir. Bu kapsamda, genel teknik ve idari tedbirlere ek olarak, özel nitelikli veriler bakımından KVK Kurulu’nun belirlediği güvenlik kriterlerine uygun ilave koruma önlemleri uygulanmaktadır.
Kurumsal yaklaşımımız gereği, gerekli olmayan özel nitelikli veriler işlenmemekte, elde edilmişse en kısa sürede silinmekte veya karartılmaktadır.
2.3.1. ÇALIŞANLARA YÖNELİK TEDBİRLER

• Özel nitelikli kişisel verilerin korunması ve güvenliği hakkında çalışanlara düzenli eğitimler verilir.

• Tüm çalışanlarla gizlilik sözleşmeleri imzalanır.

• Yetkili kullanıcıların görev tanımları ve erişim seviyeleri Yetki Matrisi ile belirlenmiştir.

• Yetkiler düzenli olarak periyodik denetime tabidir.

• Görev değişikliği veya işten ayrılma durumlarında ilgili yetkiler derhal iptal edilir, varsa tahsisli envanterler iade alınır.

2.3.2. ELEKTRONİK ORTAM TEDBİRLERİ

• Kural olarak, özel nitelikli veriler elektronik ortamda muhafaza edilmemektedir.

• Zorunlu durumlarda elektronik ortamda saklanacak veriler, kriptografik yöntemlerle şifrelenerek saklanır.

• Bu ortamlara ait güvenlik yamaları ve yazılım güncellemeleri sürekli takip edilir.

• Yazılım aracılığıyla erişilen verilerde kullanıcı bazlı yetkilendirme uygulanır.

2.3.3. FİZİKSEL ORTAM TEDBİRLERİ

• Özel nitelikli veri içeren fiziksel ortamlara erişim kısıtlıdır; giriş-çıkışlar denetlenir.

• Veriler yalnızca kilitli dolaplar veya güvenli odalarda saklanır.

2.3.4. AKTARIMA YÖNELİK ÖNLEMLER

• E-posta ile aktarım yapılması gerektiğinde yalnızca kurumsal e-posta veya KEP adresi kullanılır.

• USB, CD, DVD gibi ortamlarda veri taşınması durumunda, veriler kriptografik olarak şifrelenir ve anahtar ayrı bir ortamda saklanır.

• Kâğıt üzerinde aktarım gerektiğinde evraklar gizlilik derecesine sahip zarf içinde gönderilir ve erişim riski olan durumlara karşı ek önlemler alınır.